Expertos en seguridad están advirtiendo a usuarios de Android después de que se encontraron decenas de aplicaciones en Google Play Store que secretamente recolectaban datos confidenciales.
Según el experto en seguridad Andrey Meshkov, que hizo el descubrimiento, las aplicaciones de Android y también las extensiones de Google Chrome ayudaron a formar una «gran campaña de spyware» que fue capaz de robar datos confidenciales de la cuenta de Facebook de una víctima.
En una publicación de blog, Meshkov dijo que las aplicaciones deshonestas también pueden robar datos de publicaciones, tweets, videos de YouTube y cualquier anuncio en el que la víctima haya hecho clic.
Los datos recopilados se envían a una empresa externa llamada Unimania que presuntamente vende los datos para obtener ganancias a cualquier persona que quiera comprarlos.
Meshkov agregó que algunas de las aplicaciones de Android en Google Play Store que han estado robando datos de los usuarios se han descargado millones de veces.
Dos de las aplicaciones identificadas por Meshkov se denominan Fast y Fast Lite, que permiten a las personas administrar su perfil de Facebook fuera de la aplicación oficial de Facebook.
Las aplicaciones se han descargado un total de 11 millones de veces.
Los hallazgos de Meshkov también revelan la importancia de leer la política de privacidad al descargar una aplicación de Google Play Store.
Fast y Fast Lite revelaron en sus políticas de privacidad que los datos se pasarían a Unimania.
Bajo el título «inteligencia de datos», la política de privacidad dice: «Unimania recopila datos demográficos y psicográficos no identificables personalmente, así como campañas, anuncios o publicaciones patrocinadas que se dirigen a usted directamente o que se han compartido con usted».
En su publicación del blog, Meshkov agregó: «Esto no era solo un asunto limitado a las extensiones de Chrome, y me di cuenta de que necesitaba continuar mi investigación.
«Con este fin, una buena noticia fue que ya teníamos algunos datos recopilados mientras preparamos un estudio sobre el seguimiento de aplicaciones móviles y podría utilizarlo y consultarlo de inmediato.
«Así es como encontré una aplicación en particular que se conectaba a los servidores de Unimania».
«Este fue un cliente alternativo de Facebook llamado» Fast – Social App «con un registro de más de 10,000,000 de instalaciones según Google Play.
«El desarrollador de la aplicación no se molesta en ocultar ese hecho y menciona a Unimania en la política de privacidad», dijo.
«El análisis del tráfico de estas aplicaciones de desarrollador confirmó que la» Aplicación de Fast-Social «transfiere prácticamente los mismos datos que las extensiones de Chrome y los mismos servidores de Unimania.
«También descubrí que» Fast Lite – Social App + Twitter «(más de 1,000,000 de instalaciones) también hace lo mismo».
Meshkov pasó a identificar otras aplicaciones que mencionan a Unimania en sus políticas de privacidad. Sin embargo, también agregó que no pudo confirmar si estas aplicaciones estaban filtrando datos.
Las otras aplicaciones incluidas:
Photo Mania -Photo Effect (1 millón de instalaciones)
All in One Social Media (100,000 instalaciones)
Además, Meshkov identificó cuatro extensiones de Chrome que también se encontraron raspando datos de usuario:
Video Downloader para Facebook
Album & Photo Manager para Facebook
PDF Merge – Archivos PDF Merger
Pixcam – Efectos de webcam
«Obviamente, ninguna de estas aplicaciones describe este comportamiento en la descripción de la aplicación; tampoco tienen una «divulgación en la aplicación» como exige Google «, continuó.
«Debo admitir que las Políticas para Desarrolladores de Google Play se ven sólidas, por lo que probablemente no sean la razón por la cual la privacidad de las aplicaciones de Android se encuentra en un estado tan triste.
El problema es que estas políticas no se aplican, por lo tanto, la mayoría de los desarrolladores de aplicaciones simplemente las ignoran».
Al ofrecer consejos sobre cómo los usuarios pueden protegerse a sí mismos, Meshkov dijo: «Al instalar cualquier cosa en su dispositivo o navegador, siga estas reglas.
«Lea la política de privacidad. No es inútil: todo lo que se descubrió en este caso se mencionó en las políticas de privacidad.
«Nunca instale nada hecho por un desarrollador en el que no confíe. Haga su tarea, descubra quién es el desarrollador y decida por usted mismo si son confiables «.
Las aplicaciones ofensivas y las extensiones de Chrome ahora se han informado a Google.